Android bankacılık truva atının güncellenmiş bir sürümü Ksenomorf gözünü ABD’deki 35’ten fazla finans kurumuna dikti
Hollandalı güvenlik firması ThreatFabric’e göre kampanya, kurbanları öncekilerden daha geniş bir uygulama listesini hedefleyen kötü amaçlı Android uygulamaları yüklemeye ikna etmek için tasarlanmış kimlik avı web sayfalarından yararlanıyor. Hedeflenen diğer öne çıkan ülkelerden bazıları İspanya, Kanada, İtalya ve Belçika’dır.
Şirket Pazartesi günü yayınlanan bir analizde, “Bu yeni liste, geçen yıl tüm bankacılık kötü amaçlı yazılım aileleri arasında tutarlı olan bir eğilimin ardından ABD, Portekiz ve birden fazla kripto cüzdanından kurumlar için düzinelerce yeni katman ekliyor.” dedi.
Xenomorph, ilk olarak 2022’de ortaya çıkan Alien adlı başka bir banka kötü amaçlı yazılımının bir çeşididir. Aynı yılın ilerleyen dönemlerinde finansal kötü amaçlı yazılım, Android 13’teki güvenlik özelliklerini atlayan BugDrop adlı yeni bir damlalık yoluyla yayıldı.
Bu Mart ayının başlarında tespit edilen bir sonraki yineleme, Otomatik Transfer Sistemi (ATS) olarak bilinen sistemi kullanarak dolandırıcılık yapmaya yönelik özelliklerle donatıldı.
Bu özellik, Hadoken Security adlı operatörlerin, Android’in erişilebilirlik ayrıcalıklarını kötüye kullanarak cihazın kontrolünü tamamen ele geçirmesine ve güvenliği ihlal edilmiş cihazdan aktörlerin kontrolündeki bir hesaba yasa dışı olarak para aktarmasına olanak tanıyor.
Kötü amaçlı yazılım ayrıca, hedeflenen banka uygulamalarının üzerinde sahte oturum açma ekranları görüntüleyerek kimlik bilgileri ve kredi kartı numaraları gibi hassas bilgileri çalmak için katman saldırılarından da yararlanıyor. Kaplamalar uzak bir sunucudan URL listesi biçiminde alınır.
Başka bir deyişle, ATS çerçevesi, herhangi bir insan müdahalesine ihtiyaç duymadan kimlik bilgilerinin otomatik olarak çıkarılmasını, hesap bakiyesi bilgilerine erişilmesini, işlemlerin başlatılmasını, kimlik doğrulama uygulamalarından MFA tokenlarının alınmasını ve fon transferlerinin gerçekleştirilmesini mümkün kılar.
Araştırmacılar, “Oyuncular Samsung ve Xiaomi cihazlarını destekleyen modüller üzerinde çok çaba harcadılar” dedi. “Bu ikisinin birleşiminin tüm Android pazar payının kabaca %50’sini oluşturduğu göz önüne alındığında bu mantıklı.”
Xenomorph’un en son sürümlerine eklenen yeni özelliklerden bazıları arasında, aktif bir anlık bildirim oluşturarak telefon ekranının kapanmasını önleyen bir “uyku önleme” özelliği, belirli bir ekran koordinatında basit bir dokunuşu simüle etme seçeneği ve başka bir uygulamanın kimliğine bürünme seçeneği yer alıyor. “taklit” özelliğini kullanarak.
Yapay Zeka ile Yapay Zekayla Mücadele Edin — Yeni Nesil Yapay Zeka Araçlarıyla Siber Tehditlerle Mücadele Edin
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Becerilerinizi Güçlendirin
Kötü amaçlı yazılım, algılamayı uzun süre boyunca atlamanın bir yolu olarak, kurulum sırasında simgesini ana ekran başlatıcısından gizler. Erişilebilirlik hizmetlerinin kötüye kullanılması, güvenliği ihlal edilmiş bir cihazda engellenmeden çalışması için ihtiyaç duyduğu tüm izinleri kendisine vermesine olanak tanır.
Bankacılık truva atının önceki sürümleri, Google Play Store’da yasal uygulamalar ve yardımcı programlar gibi görünüyordu. Ancak Ağustos 2023’ün ortasında gözlemlenen en son saldırı dalgası, uygulamaları Chrome tarayıcı güncellemeleri sunan sahte siteler aracılığıyla dağıtarak işleyiş tarzını değiştiriyor.
Tehdit aktörlerinin birden fazla işletim sistemini hedef aldığını gösteren bir işaret olarak, araştırma, veri yükü barındırma altyapısının aynı zamanda Lumma C2 ve RisePro gibi Windows çalma amaçlı kötü amaçlı yazılımların yanı sıra Özel Yükleyici olarak adlandırılan bir kötü amaçlı yazılım yükleyicisine hizmet etmek için de kullanıldığını ortaya çıkardı.
ThreatFabric, “Xenomorph, çok yönlü ve güçlü bir ATS motoruna sahip, birden fazla üreticinin cihazını destekleme fikriyle halihazırda oluşturulmuş birden fazla modüle sahip, son derece tehlikeli bir Android bankacılık kötü amaçlı yazılımı olma statüsünü koruyor.” dedi.